
L'invention conceme un procede de communication securise entre deux 
entites connectees a un reseau de type Internet. 

Elle s'applique plus particulierement a des communications via un 
reseau de type Internet comprenant un segment de transmissions sans fil. 



communication pour la mise en ceuvre de ce procede. 

Dans le cadre de l'invention, le terme "entite" doit etre entendu dans 
son sens le plus general. II s'agit aussi bien de ressources informatiques, 
materielles ou logicielles, que, selon une caracteristique de l'invention qui sera 

10 explicitee ci-apres, d'etres humains, utilisateurs d'un des composants du 
systeme de communication. 

Le terme "Internet" doit egalement etre compris dans son sens le plus 
general. II englobe, outre le reseau Internet proprement dit, les reseaux prives 
d'entreprises ou similaires, du type dit "intranet", et les reseaux les prolongeant 

15 vers I'exterieur, du type dit "extranet", de fagon generate tout reseau dans lequel 
les echanges de donnees s'effectuent selon un protocole du type Internet. 
Cependant, pour fixer les idees, sans que cela limite en quoi que ce soit la 
portee de l'invention, on se placera ci-apres dans le cas du reseau Internet 
proprement dit, sauf mention contraire. 

20 Habituellement, les communications sur les reseaux, quelle qu'en soit la 

nature, s'effectuent conformement a des protocoles repondant a des standards 
comprenant plusieurs couches logicielles superposees. 

L'architecture des reseaux de communication est decrite par diverses 
couches logiques. A titre d'exemple, le standard "OSI" ("Open System 

25 Interconnection"), defini par I' "ISO", comporte sept couches qui vont des 
couches dites basses (par exemple la couche dite "physique" qui conceme le 
support de transmission physique) aux couches dites hautes (par exemple la 
couche dite d' "application"), en passant par des couches intermediaires, 
notamment la couche dite de "transport". Une couche donnee offre ses services 

30 a la couche qui lui est immediatement superieure et requiert de la couche qui lui 
immediatement inferieure d'autres services, via des interfaces appropriees. Les 
couches communiquent a ('aide de primitives. Elles peuvent egalement 
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L'invention conceme encore une architecture de systeme de 




'coinmuniquer avec des couches de meme niveau. Dans certaines architectures, 
Tune ou ['autre de ces couches peuvent etre inexistantes. 

Dans le cas d'un reseau de type Internet, les communications 
s'effectuent selon des protocoles, specifiques a ce type de communications, 
mais qui comprennent egalement plusieurs couches logicielles. Les couches 
sont au nombre de cinq, et de fagon plus precise, en aliant de la couche 
superieure a la couche inferieure : la couche d'application ("http", "ftp", "e-mail", 
etc.), la couche de transport ("TCP"), la couche d'adressage de reseau ("IP"), la 
couche de liens de donnees ("PPP", "Slip", etc.) et la couche physique. Le 
protocole de communication est choisi en fonction de 1'application plus 
particulierement visee : interrogation de pages "WEB" ("HTTP"), transferts de 
fichiers "FTP"), courrier electronique (e-mel, ou "e-mail" selon la terminologie 
anglo-saxonne), forums ou "news", etc. 

Dans sa globalite, un reseau de type Internet comprend tout d'abord un 
ou plusieurs reseaux de transmission de donnees proprement dits, 
eventuellement divises en sous-reseaux. Ces reseaux comprennent notamment 
des canaux de liaison physique qui constituent le niveau le plus bas. Les 
communications peuvent etre assurees par des liaisons a relativement bas 
debit : liaisons telephoniques, ou des liaisons a haut ou tres haut debit : fibres 
optiques, faisceaux hertziens, liaisons satellites, notamment pour les arteres 
principales. A ce ou ces reseau(x) sont connectes de nombreux systemes, sous- 
systemes, machines et/ou terminaux divers. La connexion peut etre directe (a 
I'aide d'un modem, par exemple) ou indirecte, par I'intermediaire d'un systeme 
dit "fire-wall" (ou "pare-feu"), d'un "proxy", ou par I'intermediaire du systeme 
informatique d'un fournisseur d'acces au reseau Internet (ou "ISP" selon la 
terminologie anglo-saxonne). 

La gamme des entites connectees, dans I'art connu, peut aller des 
ordinateurs tres puissants (par exemple du type dit "main-frame") jusqu'a des 
terminaux "legers", c'est-a-dire ne possedant que peu de ressources 
informatiques propres, par exemple des terminaux dedies, voire de simples 
terminaux lecteurs de carte a puce. Ces entites, que Ton peut appeler de fa?on 
generique "systemes", disposent d'un systeme d'exploitation (ou "OS" selon la 




'terjninologie anglo-saxonne), d'un type dit proprietaire ou non. A titre d'exemple, 
on peut citer le systeme d'exploitation "UNIX" (marque deposee"), tres utilise 
dans le cadre des applications relatives au reseau Internet. 

Generalement, les communications entre entites connectees s'effectuent 
selon un mode dit client-serveur et mettent en oeuvre la technologie dite 
d'objets. Un serveur peut etre defini comme etant un logiciel, une application ou 
toute entite logicielle rendant un service donne (par exemple le transfert d'un 
fichier requis). Une telle entite est hebergee par des systemes connectes au 
reseau Internet, que Ton appelle "serveurs". Une entite "client" peut etre definie 
comme etant le dual de I'entite "serveur", c'est-a-dire demandant un service 
determine. Cependant, rien ne s'oppose a ce qu'un systeme ou une application 
soit a la fois "client" et "serveur". 

Comme il a ete indique, une des couches logicielle de communication 
est constitute par la couche d'adressage dite "IP". II est en effet necessaire 
qu'un client, par exemple, puisse adresser selectivement un serveur, via le 
reseau Internet. Pour ce faire, la technologie Internet met en ceuvre le concept 
dit d' "URL" (pour "Uniform Resource Locator") faisant appel a une adresse 
appelee "IP" (pour "Internet protocol"). Le reseau Internet est fortement 
hierarchise en domaines et sous-domaines, qui correspondent eux-memes a 
des reseaux et sous-reseaux, geres par des systeme d'annuaires electroniques, 
denommes "DNS" (pour "Domains Name Servers"). La structure de I'adresse 
"IP" reflete cette hierarchisation. Elle comprend une adresse "IP" proprement 
dite, comprenant elle-meme une adresse de sous-reseau appelee et une 
adresse d'une entite a Tinterieur de ce sous-reseau. Elle est associee a un 
numero de port permettant d'adresser un serveur a rinterieur de I'entite precitee. 

Pour une meme entite connectee au reseau Internet, les adresses "IP" 
peuvent etre permanentes ou variables dans le temps. A titre d'exemple, les 
systemes connectes au reseau Internet, via un fournisseur d'acces, se voient 
generalement attribuer une adresse differente au debut de chaque session. 

Dans une periode recente, un certain nombre de besoins se sont fait 

sentir. 




Un premier besoin concerne la mobilite. On parle de "nomadisme" des 
utilisateurs. Ceux-ci disposant de terminaux eux-memes mobiles, tels des micro 
ordinateurs portables, ils desirent pouvoir se connecter a n'importe quel endroit 
du reseau, sans contraintes excessives. Notamment, la migration d'un domaine 
a un autre devrait etre transparente pour I'usager. II doit egalement pouvoir 
conserver son environnement habituel, par exemple conserver un acces a une 
liste de services auxquels il est abonne, gratuitement ou non, a un carnet 
d'adresses, etc. Les donnees caracterisant cet environnement peuvent etre 
stockees dans un serveur eloigne auquel I'abonne peut acceder. II peut encore 
les transporter avec lui, par exemple dans la memoire d'une carte a puce. 

Plus recemment, il a ete propose de connecter directement des 
telephones mobiles, seuls ou combines avec des appareils du type organiseur 
ou similaire, au reseau Internet. Cette connexion s'effectue physiquement par 
rintermediaire d'un reseau de transmissions sans fil, tel le reseau a la norme 
"Global System for Mobile communications (acronyme de "GSM"). Ce reseau est 
lui-meme connecte au reseau Internet par rintermediaire de passerelles 
specialisees ou "gateway" selon la denomination anglo-saxonne. 

Cette disposition est tres avantageuse, car elle autorise une mobilite 
extreme. II n'est plus necessaire de disposer de points fixes pour se connecter 
au reseau Internet. A priori, la seule limite a cette mobilite resulte de la 
couverture territoriale, plus ou moins etendue, du reseau "GSM" d'un operateur 
donne. 

Cependant, il existe d'autres types de limitations dues a ce mode de 
transmission. 

Une premiere limitation est relative a la bande passante. Dans I'etat 
actuel des technologies, la vitesse de transmission est tres faible : 9600 bits/s. 
Meme dans le cas d'une simple ligne telephonique filaire classique, la 
norme V90, par exemple, permet d'atteindre une vitesse maximale de 
56000 bits/s. On peut obtenir des vitesses bien plus elevees si on fait appel a la 
technologie "ADSL" (470 kits/s a 1 Mbits/s). En outre, les liaisons de type 
"RNIS", par cable ou satellites permettent de hauts ou tres hauts debits. De 
nouvelles technologies sont en cours d'etude ou d'implantation, telle "GPRS" 



" ("Global Packet Radio Service") ou "UTMS" ("Universal Mobile 
Telecommunication Service") et autoriseront de plus grandes vitesses de 
transmission, mais ne sont pas encore toutes operationnelles. Pour le moins, le 
reseau "GSM", dans sa version actuelle, subsistera pendant un laps de temps 
indetermine, car des modifications et/ou des changements complets de 
materiels s'avereront necessaires, ce sera le cas notamment pour la version dite 
"G3" de "GSM"". 

Une deuxieme limitation, corollaire de la miniaturisation des dispositifs 
de communication sans fil, tient a la surface reduite, voire tres reduite des 
ecrans de visualisation de ces dispositifs. 

II s'ensuit que les protocoles Internet, notamment en ce qui conceme le 
"WEB" proprement dit (protocole "HTTP") ne sont pas adaptes. En particulier, le 
langage couramment utilise pour ces applications est un langage interprets de 
description de pages, dit "HTML" ("HyperText Markup Language"), ce langage 
ne convient pas aux types d'ecrans precites. 

Aussi, il a ete propose un nouveau protocole, derive des protocoles de 
type Internet, de type proprietaire, appele "WAP" pour "Wireless Application 
Protocol". Ce protocole permet, a des telephones mobiles d'acceder a des 
applications de type "e-mail", "WEB" ou multimedia (video par exemple), en 
tenant compte des caracteristiques specifiques de ces appareils et du reseau de 
communication auquel ils sont connectes (par exemple le reseau "GSM"). 

Meme si elle permet I'acces aux applications ci-dessus, cette solution 
n'est pas sans inconvenients. 

Les sites Internet doivent etre adaptes, car il n'est pas possible 
d'afficher sur I'ecran d'un telephone mobile, de surplus habituellement 
monochrome, ce qui est affichable sur un ecran de plus grandes dimensions et 
definition, tel celui d'un micro-ordinateur. Un langage specifique a ete elabore 
pour ces usages : le "WML" ("WAP Markup Language"). II est alors necessaire 
de disposer d'un navigateur specifique. 

La plupart des services proposes par les operateurs de telephonie ayant 
recours a la technologie "WAP" concernent des services du type acces aux 
cotations de bourse, aux previsions meteorologiques, a des horaires de trains 
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. ' ou autres moyens de transport, aux horaires de spectacles divers, etc., ou a 
raffichage de videogrammes simples ou a des jeux peu gourmands en 
ressources informatiques. 

Cependant, ie recours a cette solution, pour des applications de type 
5 commerce electronique ou de type bancaire, par exemple, pose des problemes 
relatifs a la securite, comme il va I'etre montre ci-apres. 

En effet, un autre besoin qui se fait sentir, dans de nombreux domaines 
d'application est le niveau de securite offert par le systeme lors des 
transmissions entre deux entites. 

10 Dans le cadre de ('invention, le terme "securite" doit etre entendu dans 

un sens general. II concerne tout d'abord la confidentiality : certaines donnees 
sont dites sensibles et ne doivent pas pouvoir etre accessibles, a des entites 
non autorisees, personnes physiques ou applications logicielles. Pour ce faire, 
on a recours habituellement a diverses techniques de chiffrage. La securite 

15 concerne aussi les problemes d'authentification entre parties, d'autant plus 
aigus que ces parties peuvent etre mobiles sur le reseau Internet. 
L'authentification peut s'effectuer a I'aide de donnees d'identification (mots de 
passe) et/ou en ayant recours a la technique dite de certificats, en association 
avec des cles de chiffrage, par exemple stockees dans une carte a puce. La 

20 securite concerne aussi ce qui releve de Pintegrite des donnees transmises. On 
doit pouvoir s'assurer que les donnees re?ues n'ont pas subi de modifications 
non desirees, que ce soit de maniere accidentelle (defaillance des circuits de 
transmission par exemple) ou intentionnelles (malveillance, etc.). Pour ce faire, 
on peut mettre en oeuvre des techniques de redondance et/ou des techniques 

25 de signature electronique (scellement). 

Pour le reseau Internet "classique", une des techniques de securisation 
les plus utilisees fait appel a la technologie dite "SSL/TLS" ("secure Socket 
Layer/Transport Layer Security"). Cependant cette technologie n'assure qu'un 
niveau de securite minimal. Un niveau superieur, d'ailleurs rendu obligatoire par 

30 la version dite "IPV6" des protocoles Internet (c'est-a-dire . la version 6, la 
version actuellement utilisee etant majoritairement la version 4 ou "IPV4"), est 
assure par le protocole de securite connu sous le sigle "IPSec". II s'agit d'un 
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niveau de securite standardisee permettant une securisation de bout en bout, au 
niveau reseau. 

Dans le cas de la technologie "WAP", il a ete propose une couche de 
securite ayant une fonctionnalite analogue a la couche "SSL/TLS" precitee, 
utilisable pour les transmissions sans fil et connue sous le sigle "WTLS" 
("Wireless Transport Layer Security"). Cette technologie, d'usage optionnel, 
introduit un niveau de complexite important et n'offre pas un niveau de securite 
eieve. Aussi, puisque comme il a ete rappele, la majorite des services offerts ne 
necessitant pas de mesures de securite particulieres, les operateurs des 
reseaux telephoniques sont peu enclin a la mettre en ceuvre. 

En outre, et surtout, comme il a ete indique, il existe en general une 
passerelle, ou "gateway", assurant I'interface entre le reseau Internet et le 
reseau de transmissions sans fil. 

La figure 1, placee en fin de la presente description, illustre 
schematiquement une architecture, selon I'art connu, d'un systeme de 
communication 1 entre un utilisateur muni d'un terminal mobile de type 
"WAP" 10 (par exemple un telephone mobile"), connecte a un reseau de radio- 
transmission RTT (par exemple au standard "GSM" ou "GPRS"), et un dispositif 
informatique 12, connecte au reseau Internet Rl, par exemple un serveur 
eloigne. Le terminal mobile 10 a un role de client vis-a-vis du serveur 12. Le 
reseau RTT forme le segment "aerien" du reseau de communication mobile, 
segment relie a un second segment RT, appele reseau public terrestre mobile, 
ou sous le sigle anglo-saxon "PLMN" ("Public Land Mobile Networks"), via des 
balises emettrices/receptrices (non representees) definissant des cellules. 

Cette technologie est bien connue de I'homme de metier et ne 
necessite pas d'etre decrite plus avant. On pourra se referer avec profit, a titre 
d'exemple non limitatif, a I'article de Jean CELLMER, intitule "Reseaux 
cellulaires, Systeme GSM", paru dans les "Techniques de I'lngenieur", Volume 
TE 7364, novembre 1999, pages 1 a 23. 

Le reseau Internet Rl est interconnects au segment RT. 
Les segments terrestres RT et aeriens RTT sont interconnects par 
une passerelle 11. Dans le cadre de la technologie "WAP", cette passerelle 11 
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jouie egalement un role d'interface assurant des conversions bilaterales "WAP" 
de ou vers "HTTP". Elle comprend notamment une couche logique de protocoie 
"WAP" 110a et une couche logique de protocoie "HTTP" 111a, completee par 
une couche de securite "SLL/TLS" 1116, du cote "HTTP", et une couche 
(optionnelle) de securite "WTLS" 1106, du cote "WAP". 

La passerelle 11 comprend enfin une interface 113 entre les deux series 
de couches logiques destinees a effectuer la conversion bilaterale precitee. Or, 
precisement, cette interface 113, entre les protocoles de securite, "SSL/TLS" 
1116 et "WTSL" 1106 introduit une faille de securite, ce qui cree une zone 
d'insecurite qui rend le concept dit "WAP gateway" qui vient d'etre decrit 
incompatible, de fa<jon pratique, avec le commerce electronique, les 
applications bancaires, et de facpon plus generale avec toute application dite 
sensible exigeant un niveau de securite eleve. 

Par centre, si Ton considere une station de travail 13, ou tout dispositif 
similaire sous le controle d'un usager U 2 , connectee directement au reseau 
Internet Rl, les protocoles de communication utilises entre cette station de 
travail 13 et le serveur 12 restent homogenes. II n'existe pas de faille de securite 
ihtrinseque au systeme. II en aurait ete de meme, si la station de travail 13 avait 
ete connectee au serveur 12 via un reseau intranet ou extranet. 

L'invention vise a remplir les besoins qui se font sentir pour les 
communications via un reseau de type Internet, que ce soit un reseau de type 
classique ou un reseau mettant en ceuvre la technologie "WAP", tout en palliant 
les inconvenients des dispositifs de Tart connu, et dont certains viennent d'etre 
rappeles. 

Pour ce faire, selon une premiere caracteristique, le concept precite dit 
"WAP gateway" est entierement elimine, ce qui permet de supprimer la faille de 
securite constatee au niveau de I'interface "WEB/WAP". La conversion 
"WAP/WEB" est effectuee directement au niveau des serveurs. 

Selon une deuxieme caracteristique, on attribue a chacune des entites 
devant etre mise en relation une adresse dite permanente. 

Selon une autre caracteristique, on adopte un mecanisme de securite 
de bout en bout, au niveau reseau, utilisable pour toute application de type 
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Internet, "WEB", "WAP", ou autre, et qui est programme de maniere declarative 
ce qui assure une transparence complete. 

Du fait de cette transparence, une des consequences avantageuses du 
procede selon ('invention est qu'il rVest pas necessaire de reecrire les 
applications existantes pour les securiser avec cette technique. 

Dans une variante preferee de realisation de I'invention, le mecanisme 
adopte est le protocole "IPSec" precite. 

Bien que le procede selon I'invention soit particulierement avantageux 
lorsqu'un des segments du reseau de communication est constitue par un 
reseau de communication sans fil impliquant I'utilisation de la technologie 
"WAP", il doit etre clair qu'il s'applique egalement a un reseau de type Internet 
homogene. 

L'invention a done pour objet principal un procede de communication 
securise entre des premiere et seconde entites interconnectees via un reseau 
de type Internet, lesdites entites etant associees a des premier et second 
systemes de traitement informatique de donnees parmi un ensemble de 
systemes distribues connectes au dit reseau de type Internet, caracterise en ce 
que lesdites premiere et seconde entites sont constitutes par une piece de 
logicielle hebergee dans un desdits systemes connectes audit reseau de type 
Internet et/ou un utilisateur desdits systemes connectes, en ce que ledit premier 
systeme fonctionne en mode dit client et ledit second systeme fonctionne en 
mode dit serveur, en ce qu'il comprend une etape d'attribution, sur ledit 
ensemble de systemes, d'une adresse permanente de type Internet, du type dit 
"IP", a chacune desdites entites interconnectees, en ce qu'il est implante dans 
ledit second systeme formant serveur au moins une piece de logiciel formant 
serveur et offrant les services d'au moins une application a ladite premiere 
entite, et en ce qu'il est implante dans lesdits premier et second systemes une 
pile protocolaire de communication comportant au moins une couche pour 
I'execution d'une etape de chiffrement, en mode bout en bout, conforme a un 
protocole de securisation determine, de donnees echangees entre lesdites 
entites interconnectees. 
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L' invention a encore pour objet une architecture de communication 
dans un ensemble de systemes distribues pour la mise en ceuvre du procede. 

L'invention va maintenant etre decrite de facon plus detaillee en se 
referant aux dessins annexes, parmi lesquels : 

la figure 1 illustre schematiquement un exemple de realisation d'un 
systeme de communication, selon Tart connu, comprenant un reseau 
Internet et un reseau de communication sans fil mettant en ceuvre la 
technologie "WAP" ; 

la figure 2 illustre schematiquement un exemple d'architecture de 
systeme de communication via un reseau Internet et un reseau de 
communication sans fil mettant en ceuvre la technologie "WAP", selon 
un mode de realisation prefere de l'invention ; 

les figures 3 et 4 illustrent deux variantes de configuration de 
systeme serveurs selon l'invention ; 

les figures 5 et 6 illustrent une architecture de systeme permettant 
d'adresser directement une application logicielle hebergee par un 
systeme ; 

la figure 7 illustre de facon plus detaillee I'interconnexion de deux 
entites dans le systeme de la figure 2 ; 

la figure 8 illustre schematiquement une liaison securisee du type 
dit "tunnel" obtenue par le procede selon l'invention ; et 

la figure 9 illustre un exemple d'architecture de systeme de 
communication securisee via un reseau Internet pour une application 
marchande en technologie dite "WAP". 

Dans ce qui suit, sans en limiter en quoi que ce soit la portee, on se 
placera ci-apres dans le cadre de I'application preferee de l'invention, sauf 
mention contraire, c'est-a-dire dans le cas d'un systeme de communication 
hybride comprenant un reseau Internet et, eventuellement, un reseau intranet, 
ainsi qu'un reseau de communication mobile, comportant un segment aerien, et 
mettant en ceuvre la technologie "WAP". 

La figure 2 illustre de facon schematique un exemple d'architecture de 
systeme, desormais referencee 2, pour la mise en ceuvre du procede conforme 




a < I'invention. Les elements communs aux figures precedentes portent les 
memes references et ne seront re-decrits qu'en tant que de besoin. 

Le systeme 2 de I'exemple de la figure 2, considere dans sa globalite, 
comprend tout d'abord un terminal mobile 20, sous le controle d'un utilisateur U\ 
s (jouant un role analogue au terminal 10 de la figure 1), et une station mobile 25, 
sous le controle d'un utilisateur L/' 3j toutes deux connectees au reseau de radio- 
transmission RTT. Le terminal 20, suppose etre un telephone mobile, est 
connecte directement au reseau RTT. La station mobile 25, par exemple un 
micro-ordinateur, est connectee a ce reseau RTT via un equipement terminal 
10 26, qui peut etre constitue egalement par un telephone mobile. Ce dernier est 
connecte a la station mobile 25 via une liaison serie ou une liaison infrarouge, 
par exemple. 

Comme precedemment, le reseau RTT est connecte au reseau terrestre 
RT par I'intermediaire d'une passerelle 21. Cependant, cette derniere ne joue 

15 plus le role d'interface de conversion "WAP - HTTP" (fonction "WAP gateway" 
precitee), selon un des aspects de I'invention. Elle permet de realiser, de fagon 
classique en soi, des conversions electriques et logiques necessaires pour 
passer d'un mode transmission de donnees par voie terrestre a un mode de 
transmission par voie hertzienne, par exemple a la norme "GSM". 

20 Le reseau terrestre RT est connecte au reseau Internet Rl, ce dernier 

etant, dans I'exemple de la figure 2, connecte lui-meme a un reseau intranet it, 
via un serveur d'acces 22. Un serveur 3 est connecte au reseau intranet it 

On a egalement represents une station de travail 24 connectee au 
reseau intranet it, par exemple un micro-ordinateur, sous le controle d'un 

25 utilisateur U' A , ainsi qu'une deuxieme station de travail 27 connectee 
directement au reseau Internet Rf t par exemple un micro-ordinateur, sous le 
controle d'un utilisateur U' 2 (jouant un role analogue a la station 13 de la 
figure 1). 

Dans. la realite, un nombre beaucoup plus importants d'utilisateurs est 
30 connecte aux reseaux du systeme 2, via divers types de machines ou systemes. 
Cependant, le systeme 2 de la figure 2 permet d'illustrer les principaux types de 
dispositifs rencontres sur des reseaux ou cohabitent les protocoles Internet 
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standards et "WAP" On peut aussi prevoir des systemes dits "firewall" ou "pare- 
feu" (non representes), par exemple inclus dans le serveur d'acces 22, isolant le 
reseau intranet it du monde exterieur, c'est-a-dire du reseau Internet RL 

Selon une caracteristique, egalement commune en soi a Tart connu, 
5 tout ou partie des machines ou systemes connectes peut etre mobile sur le 
reseau. Les autres utilisateurs devraient pouvoir adresser de fagon transparente 
les machines qui ont migre. Aussi, au moins dans la version "IPV6" precitee, on 
prevoit un dispositif 23, connu generalement sous la denomination anglo- 
saxonne "Home agent", ici connecte au reseau intranet it, permettant de gerer 

10 cette mobilite. Pour ce faire, un protocole dit "Mobile IP" est utilise. II permet de 
correler une adresse temporaire attribute a un systeme connecte avec une 
adresse permanente attribute a I'entite qui lui est associee. Un utilisateur 
desirant adresser le systeme mobile ne manipule toujours que cette seule 
adresse permanente. Le protocole "Mobile IP" precite permet d'organiser une 

15 macro-mobilite. C'est le cas, par exemple, lorsque Ton change d'operateur de 
reseau "GPRS". 

Cet ensemble constitue un systeme distribue. 

Jusqu'a present, a I'exception de la structure de la passerelle 21, qui ne 
sert plus d'interface entre les protocoles "WAP/HTTP", I'architecture generate 

20 du systeme 2 qui vient d'etre decrite est commune, en soi, a une architecture 
selon I'art connu (telle celle de la figure 1). 

Selon une premiere caracteristique propre a I'invention, qui va etre 
decrite en regard des figures 3 et 4, ('architecture des serveurs 3 est modifiee, 
de fa?on a ce que des conversions aux protocoles d'interfaces applicatives des 

25 serveurs "WEB" soient realisees a I'interieur de ceux-ci, et non plus au niveau 
de la passerelle 21, sous la forme de conversion de protocole de communication 
"WAP/HTTP". Le serveur 3 heberge done une passerelle "WAP" avec un 
adaptateur d'interface applicative de serveur "WEB". Cette modification va 
permettre une securisation des transmissions, de bout en bout, transparente vis- 

30 a-vis des protocoles utilises, "HHTP", "WAP" ou autres (transmissions en mode 
paquet de donnees), ne presentant plus de faille de securite comme dans I'art 
connu, par la disparition de la fonction "WAP gateway". Elle permet enfin de ne 




plus utiliser le protocole de securite "WTLS", complexe a mettre en oeuvre et 
n'offrant qu'un faible niveau de securite. 

Sur la figure 3, on a suppose que le serveur 3 comprenait a la fois des 
applications "WAP", sous les references 36a et 366, et des applications "WEB", 
sous les references 37a et 37b. Selon un des aspects de ('invention, on prevoit 
aussi, implantes dans le serveur 3, un serveur dedie "WAP" 30 et un serveur 
dedie "WEB" 31. Ces deux serveurs, 30 et 31, sont aptes a reconnaitre 
selectivement les requetes selon le protocole "WAP" de celles selon le 
protocole "WEB", respectivement. Cette selection s'effectue via les 
configurations particulieres des messages re?us appartenant a Tun ou I'autre 
des protocoles. Les requetes sont regies du reseau Internet Rl f directement ou 
indirectement par un reseau intranet it (figure 2), via des organes classiques 
(non represents) : modem, etc., et des couches de communications 
standardisees (egalement non representees). 

Selon une premiere variante de I'invention, illustree par la figure 3, on 
interpose un module 32 entre le serveur "WAP" 30 et des "APIs" ou protocoles 
d'interface applicatives de type serveur "WEB" 33. Ce module 32, pouvant etre 
constitue par une piece de logiciel, est un adaptateur d'interface permettant que 
les methodes d'acces des applications "WAP" soient les :memes que les 
methodes d'acces des applications "WEB" a des serveurs "WEB". 

Les applications 36a-36b et 37a-37£> peuvent etre constitutes de pages 
ecrites en langages "WLM" et "HTLM", respectivement. 

Comme il est bien connu en soi, un certain nombre de techniques sont 
utilisees pour ecrire des applications "WEB" en "dos" de serveur "WEB". II peut 
s'agir "d'APIs" de types connus sous les sigles "CGI" (pour "Common Gate 
Interface", qui constituent une passerelle), "NSAPI" (pour Netscape Server-API 
- marque deposee) ou "ISAPI" (pour Internet Server API). L'application 37b est 
de ce type et est done interconnects directement au module 33. Plus 
recemment, on a propose des "APIs" dits de conteneur (ou "container" selon la 
terminologie anglo-saxonne) constituant des moteurs dits de "Servlets" (marque 
deposee). L'application 37a est de ce type et est interconnects au module 33 
via un module connu sous Tappellation "WEB Container" 34 et des "APIs" 
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specifiques 35. A titre d'exemple, on peut citer "TOMCAT", pour des serveurs de 
type "APACHE", sous systeme d'exploitation "LINUX" (tous ces termes 
correspondant a des marques deposees). 

Selon la caracteristique avantageuse de I'invention qui vient d'etre 
rappelee, le serveur "WAP" 30 dispose done d'un adaptateur d'interface 32 qui 
permet aux applications ecrites pour des serveurs "WAP" 30 d'utiliser les deux 
series de mecanismes standards rappeles ci-dessus : applications "WAP" 366 
et 36a respectivement. 

Une deuxieme variante de realisation de I'invention est illustree par la 
figure 4. Le serveur, ici reference 3', comprend, comme precedemment, un 
serveur "WAP" 30 et un serveur "WEB" 31, ainsi que le module adaptateur 
d'interface 32. Cependant les applications presentes dans le serveur 3' sont 
uniquement des applications de type "WEB", referencees 37a a 37d, a priori 
ecrites en langage "HTLM". Les applications "WEB" 37a et 376 correspondent 
aux applications "WEB" de memes references sur la figure 3, les applications 
37c et 37d se substituant aux applications "WAP" 36a et 366, respectivement. 
Des modules supplementaires 38a et 38b sont intercales entre les modules 33 
et 34-35, d'une part, et les applications 38a et 38b, d'autre part. La fonction 
devolue a ces module 38a et 386 est une conversion bidirectionnelle entre les 
langages "HTML" et "WML". De ce fait, les requetes en provenance du serveur 
"WAP" 30 sont transmises via les modules 33 ou 34-35 aux convertisseurs 38a 
ou 386, puis a une des applications "WEB" 37c ou 37d. Par contre, les requetes 
en provenance du serveur "WEB" 31 sont transmises directement, des modules 
33 ou 34-35 aux applications "WEB" 37a ou 376. Le cheminement inverse est 
egalement vrai. 

Selon une autre caracteristique du procede de I'invention, une adresse 
permanente est attribute aux utilisateurs ou a des applications clientes (par 
exemple Ui a U A , figure 2), et aux applications serveurs (par exemple 36a-366 
et/ou 37a-376, figures 3 ou 4). De fagon generale, on attribue une adresse 
permanente aux entites devant etre connectees. Cette attribution peut etre 
effectuee de fa?on dynamique. 
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Dans les reseaux de type Internet actuels, il n'est pas possible 
d'adresser directement une application a I'interieur d'un systeme. En general, 
des clients qui adressent une entite distante geree par un systeme, service ou 
application, invoquent un service de noms. Celui-ci requiert le nom du reseau et 
I'adresse du systeme qui contient I'entite a atteindre. 

Aussi, la Demanderesse a propose, dans la demande de brevet 
frangais publiee sous le numero FR 2 773 428 A1, un procede permettant 
notamment d'adresser directement une application logicielle hebergee par un 
systeme connecte a un reseau de type Internet. Ce procede va etre rappele 
brievement ci-apres par reference aux figures 5 et 6. 

Cette figure 5 illustre schematiquement le procede d'adressage de 
serveurs selon cette demande de brevet. Pour simplifies il a ete suppose que 
I'ensemble des systemes, reference 2\ etait compris dans un domaine D 1 
unique, associe a un serveur de noms de domaine DNS,. On a represents, 
egalement dans un but de simplification, un seul client, C/i. II peut s'agir, par 
exemple, de la station de travail 27 de la figure 2. Selon une des 
caracteristiques du procede d'adressage, chaque systeme reel (par exemple les 
serveurs 3 ou 3' des figures 3 et 4) est assimile a un reseau virtuel, references 
SVNi a SVN n , representes en traits pointilles sur la figure 5, appeles 
arbitrairement "reseaux virtuels systemes". 

Selon une deuxieme caracteristique du procede d'adressage, les 
serveurs, par exemple S\/n a SV A3 dans le reseau virtuel systeme SWV-i, sont 
associes chacun a une adresse "IP" individuelle. II s'ensuit que chaque serveur, 
par exemple le serveur SV-ii, c'est-a-dire un objet ou une entite logicielle, est 
directement adressable par un client, par exemple le client Cl^ 1 et, de fagon plus 
generale, un client C/ x , si le systeme 2' comporte plusieurs clients (x etant 
arbitraire). En d'autres termes, un client n'a plus besoin de connaTtre le nom du 
systeme hebergeant le serveur recherche. L'annuaire du serveur D/VSi stocke 
toutes les adresses "IP" des serveurs, par exemple des serveurs SVi-i a SVndu 
reseau virtuel systeme SVN^. 

II doit etre note que, dans un systeme multidomaines, tous les serveurs 
d'un reseau virtuel systeme appartiennent a un meme domaine. 
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Selon une troisieme caracteristique du procede d'adressage, les 
systemes "reels" ou machines qui constituent, dans une configuration classique, 
des systemes terminaux deviennent des systemes intermediates, lis constituent 
des nceuds des reseaux virtuels, SVN<\ a SVN n , et egalement des nceuds du 
reseau "reel", c'est-a-dire le sous-reseau Internet ou intranet SR X . Les 
systemes agissent en tant que passerelles qui interconnectent les nceuds des 
reseaux virtuels, SVNi a SV7V n , au sous-reseau SR X . Chaque systeme est 
egalement dote d'une adresse "IP". 

On peut done representer un reseau virtuel systeme SVN^ associe a un 
systeme Si de la fa?on illustree par la figure 6. On constate qu'un systeme Si 
constitue bien un noeud pour le reseau R x et qu'il est associe, vu de ce reseau 
(c'est-a-dire de I'exterieur), a une premiere adresse IP U avec @/Pi:X,Xi, X 
etant le prefixe attribue au sous-reseau SR X et Xi I'adresse de St dans le sous- 
reseau SR X . 

On suppose que le reseau virtuel systeme SVN y est constitue des deux 
serveurs references SV A et SV B qu'il heberge et du systeme Si proprement dit. 
Vu du reseau virtuel systeme SVN h le systeme Si est associe a une seconde 
adresse : /P 2j avec @ IP 2 \Y t Y^ Y etant le prefixe attribue au reseau virtuel 
systeme SVN y et Y 1 I'adresse de Si dans le reseau SVN y . 

De meme, les serveurs SV A et SV B sont associes a deux adresses, IP A 
et IP Bi respectivement, avec @ IP A :Y,Y Ai et @ IP B 'XY B} Y A et Y B etant les 
adresses de SV A et SV B) respectivement, dans le reseau SVN y . 

Pour une description plus detaillee du mecanisme d'adressage, on 
pourra se referer avec profit a la demande de brevet fran<;ais precitee, 
notamment a la figure 4 de cette demande qui illustre de fagon detaillee 
Tarchitecture d'un systeme reel permettant Tadressage precite. 

Dans le cadre de ['invention, les serveurs SV A et SV B peuvent etre 
constitues par les serveurs "WAP" 30 et "WEB" 31 de la figure 3, le systeme 
reel S 1 etant alors le systeme serveur 3. 

Le procede d'adressage selon la demande de brevet fran?ais precite, 
comme le procede selon I'invention restent compatibles avec le protocole 
Internet le plus couramment utilise ce jour, e'est-a-dire la version "IPV4". 
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Cependant, une adresse conforme a ce protocole ne comporte que quatre 
octets, soit 2 32 adresses theoriques, en realite beaucoup moins du fait de la 
structure hierarchique rappeiee ci-dessus. Du fait de la croissance rapide du 
reseau Internet, des projections sur le futur ont montre que cet espace 
d'adressage limite conduira rapidement a une penurie. Or le fait de pouvoir 
adresser directement des entites internes a un systeme et, selon une des 
caracteristiques de I'invention, de leur attribuer des adresses permanentes, 
multiplie les besoins en nombres d'adresses distinctes. Aussi, dans le cadre de 
I'invention, on preferera le protocole "IPV6" pour I'attribution des adresses 
permanentes. L'espace d'adressage theorique est alors fortement augmente : 
environ 6,65x1 0 23 adresses reseau par metre carre de la surface de la terre. 

Comme il a ete indique, selon une autre caracteristique de I'invention, 
la securisation des transmissions est realisee de bout en bout, de fagon 
transparente par vis-a-vis des differents protocoles : "WAP", "WEB" ou autres. 
Dans un mode de realisation prefere, on adopte le protocole connu sous le sigle 
"IPSec", protocole d'ailleurs obligatoire si la version "IPV6" est mise en ceuvre 
pour les transmissions sur le reseau Internet. 

La figure 7 illustre schematiquernent un exemple d'architecture de 
systeme de transmission 2, selon I'invention, montrant I'interconnexion entre 
deux entites de type client, referencees 4 et 4\ et une entite de type serveur, 3. 
Les client 4 ou 4' est constitues par Fun des dispositifs representes sur la figure 
2 : 20, 24, 26 ou 27. Les deux entites, 3 et 4 ou 4', communiquent entre elles par 
Tintermediaire d'un ou plusieurs des reseaux de la figure 2, sous la reference 
unique R. L'entite 4 est un client de type "WEB" et I'entite 4' un client de type 
"WAP". 

On a suppose que le protocole "IPV4" etait utilise pour les 
transmissions, ce qui est generalement le cas a I'heure actuelle. Le procede 
d'adressage illustre par reference avec les figures 5 et 6, et le procede selon 
I'invention sont compatibles avec des reseaux de type, comme il a ete rappele. 
Dans le cadre de I'invention, on met en ceuvre un protocole denomme "6-to-4" 
qui convertit les adresses "IPV6" en adresses "IPV4" compatibles "IPV6", et 
inversement. 




Selon le precede de 1'invention on implemente dans chaque systeme 
physique une pile protocolaire de communication comprenant successivement 
une pile "IPV6", 390 ou 44, incluant le protocole de securite "IPSec", 391 ou 45, 
et une pile "IPV4" 392 ou 46, respectivement pour le serveur 3 et les clients 4 ou 
4'. Les piles "IPV4", 392 et 46, sont interfacees avec le reseau R. Les piles 
H IPV6 M , 390 et 44, sont interfacees avec les serveurs "WAP" 30 et "WEB" 31, 
cote serveur 3, et avec des clients "WAP" 42 et "WEB" 43, cote client 4. 

Sur la figure 7, on a egalement detaille les couches applicatives du 
client 4, qui presentent une grande symetrie avec celles du serveur 3. les 
clients, 42 et 42', peuvent etre constitues par des navigateurs. Des associations 
de securite sont definies entre des utilisateurs ou des applications clientes et 
des applications serveurs. De fagon avantageuse, un "triplet" identifie chaque 
association de securite : 

une adresse de destination des paquets de donnees ; 

un protocole de securite, de fa?on preferentielle le protocole dit 

"ESP" ("Encapsulating Security Payload" ou protocole 

d'authentification de donnees) est utilise en mode tunnel ; et 

un parametre index de securite ("Security Parameter Index" ou 

"SPI"). 

On constate que la securisation des transmissions, du fait que le 
chiffrage et le dechiffrage est realise en amont des couches d'adresses "IPV4" 
dans chaque entite a mettre en relation, on obtient bien la securisation 
transparente desiree, de bout en bout. On ne constate plus de faille de securite 
lors du cheminement des donnees, meme si un segment du reseau est du type 
a transmissions sans fil. 

Le schema equivalent a 1'architecture representee par la figure 7 est 
celui illustre par la figure 8. Le canal de transmission peut en effet etre 
represents symboliquement sous la forme d'un cable blinde ou "tunnel" mettant 
en liaison deux entites, arbitrairement referencees E^ et E 2 , auxquelles les 
adresses permanentes respectives @/P E i et @/Pe2 ont ete attributes. II s'agit, 
soit d'adresses "IPV6", soit d'adresses compatibles "IPV6" si le reseau est au 
protocole ""IPV4". 
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A titre d'exemple, un "tunnel" securise est etabli entre un terminal 
"WAP", par exemple le telephone mobile 20 (figure 2) et le serveur 3 
hebergeant une application "WAP" 33. De fa?on generale, le "tunnel" transporte 
des communications "IPV6" de bout en bout entre un utilisateur et une 
application. 

Naturellement, si le reseau R est au protocole "IPV6" les conversions 
d'adresses ne sont plus necessaires et les piles "IPV4", 392 et 46 n'existent pas. 

Lorsque la station connectee est du type mobile, on fait appel au 
protocole dit "mobile IPV6". La station mobile est associee a chaque instant a 
une adresse temporaire qui reste transparente pour les utilisateurs desirant 
adresser Pentite associee a cette station. Un dialogue est initialise avec un 
dispositif du type "home agent" precite (figure 2 : 23). Ce dernier etablit une 
correlation entre I'adresse permanente attribute et Padresse temporaire. Cette 
disposition permet d'obtenir ce qui a ete precedemment appelee une "macro- 
mobilite". 

Le dialogue precite est securise. De fagon preferentielle, le mecanisme 
d'authentification propre a "IPSec" est mis en ceuvre comme le preconise le 
protocole "mobile IPV6". 

On obtient des communications entre utilisateurs et applications avec 
mise en oeuvre des services suivants de "IPSec", s'ils sont selectionnes : 

authentification de la source de donnees, incluant Tauthentification 
de I'utilisateur ; 
integrite ; et 
confidentiality. 

En ce qui concerne plus precisement I'authentification des utilisateurs, 
celle-ci s'effectue avantageusement par I'intermediaire de I'adresse permanente 
qui leur est attribute. Les utilisateurs sont enregistres dans un annuaire 
electronique. A titre d'exemple, I'organisme connu sous le sigle "IETF" ("Internet 
Engineering Task Force") a propose un standard d'annuaire, que Ton peut 
qualifier d' "allege", connu sous le sigle "LDAP" ("Lightweight Directory Access 
Protocol"). Un profil d'abonne et des privileges eventuels sont associes a 
I'utilisateur. Comme "IPSec" est utilise, avec le mecanisme "ESP", en mode 
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"tunnel" (figure 8), une authentification de la source cT information (une adresse 
"IPV6" permanente), en I'occurrence ['identification de I'utilisateur, est presente 
dans chaque paquet de donnees et chiffree. En outre, la source de donnees est 
authentifiee et, dans ce cas, represente I'utilisateur. Cette identification est 
utilisee pour construire un contexte de securite utilise lui-meme par I'application 
ou, mieux, par le contenant de I'application pour effectuer un controle d'acces 
pour des controles d'autorisation. 

Pour fixer les idees, on va maintenant decrire un exemple d'architecture 
de systeme de transmission, mettant en oeuvre les dispositions de ['invention, 
adaptee a une application marchande mobile securisee, empruntant un tron?on 
de reseau de radio-transmission par paquets, par exemple du type "GPRS". 

La figure 9 illustre schematiquement une telle architecture, 
referencee 2". Les elements communs aux figures precedentes portent les 
memes references et ne seront re-decrits qu'en tant que de besoin. 

Comme precedemment, le systeme 2", dans sa globalite comprend des 
terminaux mobiles, dont un seul, 20 sous le controle de I'utilisateur U^ 1 a ete 
illustre. Ce terminal mobile 20 est connecte au tron?on de reseau sans fil RTT, 
puis via la passerelle 21 au reseau terrestre public RT, au reseau Internet RL 
Un serveur, par exemple du type 3 de la figure 3, hebergeant au moins une 
application marchande par exemple I'application 36a, en technologie "WAP", est 
connecte au reseau Internet via le reseau Intranet it et le serveur d'acces 22. On 
a egalement represente un terminal "WEB" 24 connecte au reseau intranet it 
Ce terminal est similaire a la station 24 de la figure 2. 

On n'a pas represente les piles protocolaires d'adressage et "IPSec" 
(voir figure 7) permettant d'attribuer des adresses "IPV6" et d'effectuer les 
operations necessities par le protocole "IPSec". 

L'architecture qui vient d'etre decrite permet d'etablir un lien logique lis 
entre I'utilisateur U^ et I'application marchande "WAP" 36a, securise de bout en 
bout, ce malgre le fait qu'il emprunte un segment de reseau sans fil. 

A la lecture de ce qui precede, on constate aisement que ('invention 
atteint bien les buts qu'elle s'est fixes. 
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II doit etre clair cependant que I'invention n'est pas limitee aux seuls 
exernples de realisations explicitement decrits, notamment en relation avec les 
figures 2 a 9. 

Les applications de I'invention ne se limitent pas non plus au seul 
domaine "commerce electronique securise". Elles couvrent egalement des 
applications bancaires, medicales, et de fagon plus generale toute application 
mettant en ceuvre des communications transitant par un reseau de type Internet, 
notamment dont un segment au moins est constitue par un reseau de 
transmissions sans fil. 
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REVENDICATIONS 



1. Procede de communication securise entre des premiere et seconde entites 
interconnects via un reseau de type Internet, lesdites entites etant 
associees a des premier et second systemes de traitement informatique de 
donnees parmi un ensemble de systemes distribues connectes au dit reseau 
de type Internet, caracterise en ce que lesdites premiere et seconde entites 
sont constitutes par une piece de logicielle (368-366, 37a-37£>) hebergee 
dans un desdits systemes (3, 3') connectes audit reseau de type Internet (Rl, 
R) et/ou un utilisateur (LA,) desdits systemes connectes (4, 20), en ce que 
ledit premier systeme (4, 20) fonctionne en mode dit client et ledit second 
systeme (3, 3') fonctionne en mode dit serveur, en ce qu'il comprend une 
etape d'attribution, sur ledit ensemble de systemes, d'une adresse 
permanente de type Internet, du type dit "IP", a chacune desdites entites 
interconnectees (U<\, 36a-366, 37a-37cf), en ce qu'il est implante dans ledit 
second systeme formant serveur (3, 3') au moins une piece de logiciel 
formant serveur (30, 31) et offrant les services d'au moins une application 
(36a-36jb, 37a-37d) a ladite premiere entite (L^), et en ce qu'il est implante 
dans lesdits premier (4, 20) et second (3, 3') systemes une pile protocolaire 
de communication comportant au moins une couche (45, 391) pour 
['execution d'une etape de chiffrement, en mode bout en bout, conforme a un 
protocole de securisation determine, de donnees echangees entre lesdites 
entites interconnectees (U,, 36a-36jb, 37a-37d). 

2. Procede selon la revendication 1, caracterise en 'ce que lesdites adresses 
permanentes "IP" attributes aux dites entites interconnectees (Ui, 36a-36fc>, 
37a-37cQ sont conformes au protocole d'adressage de type Internet "IPV6". 

3. Procede selon la revendication 2, caracterise en ce que lesdites 
communications sur ledit reseau de type Internet (R/, R) s'effectuant selon le 
protocole d'adressage de type Internet "IPV4", il comprend I'implantation dans 
lesdits premier (4, 20) et second (3, 3') systemes d'une couche protocolaire 
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• (46, 392) permettant de deriver des adresses "IPV4", compatibles avec ledit 
protocole "IPV6", par I'execution d'une etape de conversion d'adresses 
conforme au protocole dit "6-to-4". 

4. Procede selon la revendication 1, caracterise en ce que ladite etape de 
chiffrement est effectuee conformement au protocole dit "IPSec", utilise avec 
le mecanisme dit "EPS" d'authentification de sources d'information, en mode 
dit "tunnel", de maniere a obtenir des echanges de donnees securisees entre 
lesdites entites interconnects (L/ tl 36a-36b, 37a-37c/). 

5. Procede selon la revendication 4, caracterise en ce que, ladite premiere 
entite etant un utilisateur (LA) dudit premier systeme (4, 20), il comprend une 
etape d'authentification dudit utilisateur (l^) et en ce que ladite adresse "IP" 
est utilisee comme donnee d'identification de cet utilisateur (U-\). 

6. Procede selon la revendication 5, caracterise en ce que lesdites 
communications s'effectuant en mode paquets de donnees, lesdites donnees 
d'identification d'utilisateur (d) sont presentes, sous forme chiffree conforme 

* au dit protocole "IPSec", dans chacun desdits paquets de donnees. 

7. Procede selon la revendication 1, caracterise en ce que ledit premier 
systeme (4, 20) est connecte a un segment de transmissions sans fil {RTT), 
en ce que les communications entre ce premier systeme constituant un 
systeme client (4, 20) et ledit second systeme constituant un systeme serveur 
(3, 3') s"effectuent selon le protocole dit "WAP", et en ce qu'il comprend 
('implantation dans ledit second systeme (3, 3') d'au moins une piece de 
logiciel constituant un serveur "WAP" (30) et un deuxieme piece de logiciel 
(32) formant une interface unifiee entre ledit serveur "WAP" (30) et au moins 
une application (36a-36b, 37a-37c0 offrant ses services a ladite premiere 
entite (d), de maniere a ce que ledit serveur "WAP" (30) soit integre en tant 
que serveur "WEB" dans ledit systeme serveur (3, 3'). 

8. Procede selon la revendication 7, caracterise en ce qu'il comprend 
I'implantation dans ledit second systeme (3, 3') d'un module supplementaire 
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i (35) d'adaptation bilaterale d'interface de structures permettant de supporter 
des interfaces applicatives (33) utilisees par les serveurs de type "WEB". 

9. Procede selon la revendication 7, caracterise en ce qu'il comprend 
['implantation dans ledit premier systeme (4, 20) d'une piece de logiciel 
constituant un client et en ce que cette piece de logiciel est un navigateur de 
type "WAP". 

10. Procede selon la revendication 1, caracterise en ce que ledit premier 
systeme etant un systeme mobile (25), il comprend I'attribution au dit premier 
systeme (25) d'une adresse temporaire, en ce qu'il comprend une etape de 
dialogue entre ledit premier systeme (25) et un organe d'un type dit "home 
agent" (23), connecte au dit reseau de type Internet (it), permettant de 
correler a chaque instant ladite adresse permanente, attribute a ladite 
premiere entite (t/ 3 ), avec ladite adresse temporaire, selon un protocole dit 
"mobile IPV6 protocol". 

11. Architecture de systeme de communication securise entre des premiere et 
* seconde entites interconnects via un reseau de type Internet, lesdites 

entites etant associees a des premier et second systemes de traitement 
informatique de donnees parmi un ensemble de systemes distribues 
connectes au dit reseau de type Internet, caracterisee en ce que le dit 
premier systeme (4, 20) est un systeme fonctionnant en mode dit client et 
ledit second systeme (3, 3') un systeme fonctionnant en mode dit serveur, en 
ce que lesdites premiere et seconde entites sont des pieces de logicielles 
(36a-366, 37a-37cQ hebergees dans lesdits premier (4, 20) et second (3, 3') 
systemes et/ou un utilisateur (LA) desdits systemes connectes, en ce lesdites 
entites {U<i, 36a-36b, 37a-37cf) sont associees a des adresses permanentes 
de type Internet, du type dit "IP", en ce que ledit second systeme (3, 3') 
formant serveur comprend au moins une piece de logiciel (31) formant 
serveur (30, 31) et offrant les services d'au moins une application (36a-36£>, 
37a-37cQ a ladite premiere entite (Ui), et en ce que lesdits premier (4, 20) et 
second (3, 3') systemes comprennent une pile protocolaire de communication 
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* comportant au moins une couche d'adressage (44, 390) selon ladite adresse 
"IP" permanente et une couche logique (45, 391) pour I'execution d'une etape 
de chiffrement, en mode bout en bout, conforme a un protocole de 
securisation determine, de donnees echangees entre lesdites entites 
interconnectees (Ui, 36a-36b, 37a-37d). 

12. Architecture selon la revendication 11, caracterisee en ce que ladite 
couche d'adressage (44, 390) est conforme au protocole "IPV6". 

13. Architecture selon la revendication 12, caracterisee en ce que ledit reseau 
de type Internet (R) vehiculant des paquets de donnees conforme au 
protocole "IPV4", lesdites piles protocolaires desdits premier (4, 20) et 
second (3, 3') systemes comprennent chacune une premiere couche 
d'adressage (44, 390) selon ladite adresse "IP" au protocole "IPV6" et une 
seconde couche (46, 392) d'adressage au protocole "IPV4" dont vont etre 
derivees des adresses compatibles M IPV6" de maniere a obtenir des 
echanges en mode dit "tunnel" ; lesdites couches logiques (45, 391) 
executant une etape de chiffrement (45, 37) en faveur desdits paquets de 
donnees echanges entre lesdites entites interconnectees (l/i, 36a-36b, 37a- 
37c/). 

14. Architecture selon la revendication 11, caracterisee en ce que lesdites 
couches logiques (45, 391) pour ('execution d'une etape de chiffrement sont 

. conformes au protocole dit "IPSec", utilise avec le mecanisme dit "EPS" 
d'identification de sources d'information, en mode dit "tunnel", de maniere a 
obtenir des echanges de donnees securisees entre lesdites entites 
interconnectees (L/ 1( 36a-36b, 37a-37d), 

15. Architecture selon la revendication 11, caracterisee en ce que ledit premier 
systeme (4, 20) est connecte a un segment de transmissions sans fil (RTT), 
en ce que les communications entre ce premier systeme (4, 20), constituant 
un systeme client, et ledit second systeme (3, 3'), constituant un systeme 
serveur, s'effectuent selon le protocole dit "WAP", et en ce que ledit second 
systeme (3, 3') comprend au moins un premier module constituant un serveur 




26 



, "WAP" (30) et un deuxieme module (32) formant une interface unifiee entre 
ledit serveur "WAP" (30) et au moins une application (36a-36fe, 37a-37d) 
offrant ses services a ladite premiere entite (L/i), de maniere a ce que (edit 
serveur "WAP" (30) soit integre en tant que serveur "WEB" dans ledit 
5 systeme serveur (3, 3'). 

16. Architecture selon la revendication 15, caracterisee en ce que ledit second 
systeme (3, 3') comprend au moins un module supplemental (38a-38£>) de 
conversion bilaterale de paquets de donnees de structures conformes aux 
dits protocoles "WEB" ou "WAP". 

10 17. Architecture selon la revendication 15, caracterise en ce que ledit premier 
systeme est un terminal de telephonie mobile (20, 4) a la norme dite "GSM", 
en ce qu'il comprend un navigateur de type WAP constituant un client, et en 
ce qu'il comprend un ecran de visualisation pour I'affichage de pages en 
langage du type dit "WML". 

15 18. Architecture selon la revendication 15, caracterise en ce que ledit premier 
* systeme est un terminal de telephonie mobile a la norme dite "GPRS" et en 
ce qu'il comprend un navigateur de type Internet constituant un client, et en 
ce qu'il comprend un ecran de visualisation pour I'affichage de pages en 
langage du type dit "WML". 
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ABREGE 



Precede et architecture de systeme de communication securise entre deux 
entites connectees a un reseau de type Internet comprenant un segment de 

transmissions sans fil 



Uinvention concerne un precede et une architecture de communication 
securisee entre deux entites (Ui, 36a) associees a un systeme (10, 3') et 
interconnects a un reseau Internet (ft/, ft) comprenant un segment de 
transmissions sans fil {RTT). Les entites sont des applications logicielles (36a) 
hebergees par les systemes (3') et/ou des utilisateurs (L/i) de ces systemes (10). 
L'un des systemes est un terminal (10) en technologie "WAP" connecte au 
segment de transmissions sans fil (ft 77), constituant un systeme client, I'autre un 
systeme serveur (3'). Une adresse permanente reseau est attribute aux deux 
entites (L/ 1t 36a), de fa?on preferentielle conforme au protocole "IPV6". Les 
systemes serveur (3') et client (10) comprennent une pile protocolaire de 
communication comprenant des niveaux d'adressage "IP" et de securisation de 
bout en bout, de fagon preferentielle conformement au protocole "IPSec" qui 
assure des services ^authentication de confidentialite et d'integrite. Le systeme 
serveur (3') comprend couche logique supplementaire (32) permettant a un 
serveur "WAP " integre, de disposer d'interfaces applicatives identiques a celles 
utilisees communement par les serveurs "WEB". 
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